martes, julio 23, 2019

SMOLPION Symbiote: Cómo atacar equipos con un troyano físico [Parte 2 de 2]

Tras describir el proyecto de SMOLPION Symbiote en la primera parte de este artículo y ver tanto cómo funciona con Arduino y Raspebrry Pi, vamos con a continuar con el apartado de explicar cómo infiltrarlo dentro de la máquina objetivo.

Figura 11: SMOLPION Symbiote: Cómo atacar equipos con un troyano físico [Parte 2 de 2]

En la parte anterior vimos cómo es posible conectarlo a la placa madre de la computadora de la víctima, pero hay otros métodos más sencillos y al alcance de cualquiera que pase cerca del equipo objetivo.

2.2- Troyanizar o "weaponizar" dispositivos USB

El arte de la "troyanización" de hardawe USB puede resultar extremadamente efectivo en este ataque. Imagina por un momento un simple e inocente ratón, una lámpara, teclado, ventilador o cualquier dispositivo que pueda conectarse al puerto USB de un ordenador, el cual cumpla satisfactoriamente con sus funciones, pero que lleve ocultamente embebido un segundo dispositivo malicioso dentro de sus conexiones.

Figura 12: Utilización de NanoHub para troyanizar dispositivos USB

Para lograr este cometido, se puede utilizar -por ejemplo-, una placa NanoHub que proporciona una conexión USB extra bastante diminuta, para interconectar un dispositivo USB malicioso adicional, de tal manera que resulte imperceptible para la víctima, y cada vez que esta conecte el dispositivo al puerto USB de su ordenador, el hardware malicioso también comenzará a operar.

Figura 13: Libro de Ethical Hacking de Pablo González
(Esta semana con 10% de descuento)

Es por esta misma razón que no debemos confiar indiscriminadamente en cualquier hardware que se conecte vía USB, - y que para un Ethical Hacking, sustituir algunos ratones USB sabiendo el modelo que utiliza la empresa sería más que suficiente - ya que cualquiera podría troyanizarlo, utilizar un poco de ingeniería social y provocarte un agujero de seguridad del tamaño del mundo.

2.3.- Smolpion in the Middle: Con un conector USB Hembra

El dispositivo posee del lado contrario al conector USB macho, los pines necesarios para soldar un conector USB hembra. La ventaja de esto es dar la impresión de que SMOLPION es un adaptador o parte del dispositivo que se conectó detrás de él al conector hembra, puesto que ambos dispositivos seguirían trabajando de forma normal y SMOLPION quedaría por tiempo indefinido adherido al equipo, en medio de la conexión.

Figura 14: SMOLPION entre la conexión del puerto USB y otro dispositivo

Si se emplea esta estrategia en un dispositivo que el usuario siempre mantenga conectado a su equipo como un teclado, ratón o un dongle WiFi, pasará mucho tiempo antes de ser descubierto, o si el equipo es utilizado por el personal administrativo de la empresa, tal vez nunca lo descubran.

3.- PoC: Owneando Windows con un R.A.T.

Después de haber infiltrado SMOLPION Symbiote al equipo víctima utilizando alguno de los métodos anteriores, y haber compilado el código en la placa a la que está conectado el emisor RF, procederemos a dar apertura al monitor serie. A continuación, se mostrará en pantalla el menú con los vectores de ataque disponibles.

Figura 15: Vectores de ataque desplegados a través de monitor serie

Lo único que resta hacer es escribir el nombre del ataque deseado, y al dar a la tecla Enter. Entonces comenzará la ejecución remota de comandos, pulsación de tecla a pulsación de tecla cual si estuviéramos sentados delante del teclado en el equipo objetivo. Los distintos vectores de ataque se describen a continuación:
- Execution: Ejecuta un .exe elegido por el pentester. Tendrá los privilegios de la cuenta de usuario en la máquina.
- BypassUAC: Bypass al Control de cuentas de Usuario de Windows. Si el usuario es administrador se hará automáticamente. Si no, se pueden ir utilizando algunas de las técnicas más comunes. En el futuro se pueden ir añadiendo nuevas técnicas de ByPasss UAC según se vayan parcheando por Microsoft.
- KillDefender: Desactiva Windows Defender. 
- Netcat: Obtención de una Shell inversa con Nc. 
- BackdoorNC: Obtención de una Shell inversa con Nc, persistente con cada reinicio. 
- Screenshot: Envía una captura de pantalla a través de correo electrónico. 
- OpenWeb: Da apertura a un sitio web (Phishing, Tab Hijacking, etcétera). 
- Unlock: Desbloquear el equipo windows con la contraseña del usuario. 
- Lock: Lanza la pulsación de teclas Win + L para bloquear la cuenta de usuario, con la finalidad de no levantar sospechas en el administrador si previo al ataque había dejado bloqueado el ordenador.
Cabe destacar que estos vectores son solo unos cuantos ejemplos, puesto que el pentester puede programar sus propios payloads personalizados de acuerdo a los requerimientos de su tarea. Cualquiera de las técnicas de Hacking Windows puede ser incorporada como payload en estos ataques con troyanos físicos.

Figura 16: Libro de Hacking Windows en 0xWord
(Esta semana con 10% de Descuento)

Para esta Demo utilizaremos el primer vector, así que escribimos la palabra “Execution”, damos a la tecla Enter y comenzará el ataque en el ordenador víctima, como si lo manejáramos sentados delante de él.

Figura 17: Enviando el ataque “Execution” al equipo víctima

El ataque comienza con la ejecución de una consola Powershell, tan poderosa para el pentesting como ella sola, con privilegios elevados para poder ejecutar cualquier comando.

Figura 18: Ejecución de Powershell con privilegios elevados / Bypass UAC

Seguido de la descarga y ejecución del archivo “exec.exe”. Este fichero es el servidor de nuestro R.A.T. desde un host remoto.

Figura 19: Descarga y ejecución del RAT con Powershell

Una vez concluido el proceso anterior, solo bastará con esperar la sesión remota del equipo víctima en el panel de administración del R.A.T. para tener control total sobre ella.

Figura 20: Control de la víctima con un R.A.T. Quasar

De esta manera tan trivial, cualquiera podría tomar el control de tu ordenador en sólo cuestión de segundos, además de tener una puerta trasera física garantizada por si reinicias o formateas tu equipo.

Figura 21: Smolpion Symbiote. Explicación y demo 

Y claro, para que puedas ver el proceso completo, todo lo que hemos visto en este artículo incluida la demo explicada con la toma de control de Windows con un R.A.T. puedes verlo en este vídeo.

¡Saludos Malignos!

Autor: Raphael L. Molina (@raphael_mol)

**************************************************************************************************
- SMOLPION Symbiote: Cómo atacar equipos con un troyano físico (Parte 1 de 2)
- SMOLPION Symbiote: Cómo atacar equipos con un troyano físico (Parte 2 de 2)
**************************************************************************************************

No hay comentarios:

Publicar un comentario